企業USB權限控制心得

接到一個任務，禁止集團内所有電腦的USB接口進行檔案拷貝，但不能妨礙列印機、滑鼠鍵盤、掃描器、加密狗等等一切需要USB接口工作的外部裝置。

糾結了，這不擺明了讓我蛋疼嗎？ 

不過，疼歸疼，辦法總是要想滴，說白了不就是不讓人把公司的機密資料帶出去嗎？現在這些人，暴力管理還找一大堆冠冕堂皇的理由讓你無條件服從，P服！哥們我楞是從中總結出一條真理：世界上沒有辦不到的事，隻是你願不願意想辦法。 

不羅嗦，開工，首先了解任務的詳細内容： 

任務目的： 

1、要管制USB儲存設備，一般使用者不能寫不能讀；部分使用者能讀不能寫入USB儲存設備；還有一部分大人們（公司高管）平時不讀不寫，在需要用的時候要能讀能寫！ 

2、無論使用什麼方式進行管制，不能影響到現在USB列印機、掃描器、加密狗、滑鼠鍵盤等等外部裝置的使用。 額滴神，這幫兔崽子真會折磨人。 

任務範圍：集團内800+台電腦 

任務時間：2周 

接下來，就得找實施方案了！ 

1、方案一：BIOS裡全部關閉USB端口 

2、方案二：Client端安裝USB管理軟體，用軟體進行管制，安裝一台伺服器，監控所有電腦的USB動态 

3、方案三：從作業系統系統資料庫下手，批處理執行管理 

先說說這三個方案：恕本人愚昧，或許還有很多又好又快捷的方法，但偶當時确實隻想到這些，

方案一：最操蛋的方法，端口全關了，什麼USB裝置都用不了了，就别提這機那機了，PASS掉，

方案二：所有電腦安裝Client，工作量大，時間根本不夠，再說了，我很介意在使用者端安裝軟體，多一個程序多占用一部分記憶體，到時候電腦速度慢了又會有人大呼小叫了。仍然PASS，

第三個，其實這也是俺最喜歡用的手段：批處理！哈哈，就它了。 

各位觀衆，看清楚看明白啦，實施過程開始！ 

1、首先，關閉USB儲存設備的盤符自動配置設定，打開系統資料庫，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR，将"Start"的值改為4（禁止自動啟動），預設為3是自動配置設定盤符 

2、幹掉USB儲存設備的作用檔案：進入WINDOWS系統目錄，找到X:\Windows\inf，這裡說明一下，USB儲存設備的作用檔案有兩個，分别是usbstor.inf和usbstor.pnf，因為後續可能需要重新打開USB功能，是以不要删除它，建議拷貝到其他位置，當然你要暴力一點，删除它也沒關系，但記得做好備份。

我用兩條批處理指令實作： 

copy %Windir%\inf\usbstor.inf %Windir%\usbstor.inf /y >nul 

copy %Windir%\inf\usbstor.pnf %Windir%\usbstor.pnf /y >nul 

del %Windir%\inf\usbstor.pnf /q/f >nul 

del %Windir%\inf\usbstor.inf /q/f >nul

哦不，準确的說是4行指令！ 

3、然後，禁止将電腦裡的資料拷貝到USB儲存設備，意思是把USB儲存設備設定隻讀的，幹成殘廢。 

打開系統資料庫：定位到HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control，在其下建立一個名為“StorageDevicePolicies”的項，選中它，在右邊的窗格中建立一個名為“WriteProtect”的DWORD值，并将其數值資料設定為1 

嘿嘿，有了這一條，你就是能用USB儲存設備，也隻能單方面讀取資料了，也算是半個殘廢了。 

到此，基本上第一個過程基本完成，實作的功能包括：禁止使用USB儲存設備，不影響其他USB外設，就算要用，也把USB儲存設備幹成殘廢（隻讀）。 

接下來說第二個部分：如何開啟？（部分使用者需要使用USB儲存設備） 實際上，逆向操作以上步驟就可以完成開啟，但為了表達的更完整一些，我還是把過程寫下來 

1、找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR，将"Start"的值改為3 

2、恢複USB儲存設備作用檔案，還是4行指令： 

copy %Windir%\usbstor.inf %Windir%\inf\usbstor.inf /y >nul 

copy %Windir%\usbstor.pnf %Windir%\inf\usbstor.pnf /y >nul 

del %Windir%\usbstor.pnf /q/f >nul 

del %Windir%\usbstor.inf /q/f >nul

完成後，使用者可使用USB儲存設備，但不能往裡面寫入任何内容！你不信？不信就試試嘛，俗話說的好：實踐出真知！ 

不好意思，扯遠了！ 

這樣，關閉也寫了，開啟也寫了，接下來的事情，你知道的。 

批處理代碼，哈哈！ 

關閉過程： 

@echo off 

reg add "HKEY_LOCAL_ MACHINESYSTEMCurrentControlSet ControlStorageDevicePolicies“ /v WriteProtect /t reg_dword /d 1 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR" /v Start /t reg_dword /d 4 /f 

del %Windir%\inf\usbstor.inf /q/f >nul 

@echo on

開啟過程： 

@echo off reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR" /v Start /t reg_dword /d 3 /f 

del %Windir%\usbstor.inf /q/f >nul 

将以上代碼儲存為兩個BAT文檔，然後放進x:\Windows\system32\目錄下，比如DisableUSB.bat和EnableUSB.bat 

然後直接在運作裡面輸入指令：DisableUSB （關閉）EnableUSB（開啟）

打完收工！